C.I. PROCAPS S.A.
NIT 802.009.120 - 6
Calle 80 NO. 78 B – 201
Barranquilla (Atlántico) – Colombia.
La presente “Política de Protección y Tratamiento de Datos Personales” (en adelante “La Política”), establece los lineamientos, reglas y compromisos que adopta sociedad
C.I. PROCAPS S.A (en adelante “
C.I. PROCAPS”) para garantizar el tratamiento adecuado de datos personales, de conformidad con la ley 1581 de 2012, el Decreto 1377 de 2013 (compilado en el Decreto 1074 de 2015), y demás normas aplicables en Colombia.
Esta Política aplica a los datos personales que
C.I. PROCAPS recolecte, administre, almacene, use, circule, transfiera o suprima, ya sea actuando como Responsable del Tratamiento o como Encargado del Tratamiento por cuenta de un tercero, en el marco de sus operaciones y actividades. Asimismo, esta Política aplica a la información personal que, en virtud del modelo operativo de
C.I. PROCAPS como filial o subsidiaria de
PROCAPS S.A., se encuentra integrada en una estructura tecnológica centralizada administrada por esta última, sobre la cual operan las sociedades vinculadas. En este sentido, la información de
C.I. PROCAPS es tratada, almacenada y resguardada dentro de dicho ecosistema tecnológico corporativo, quedando sujeta a las políticas, estándares y controles definidos por
PROCAPS S.A. en materia de gestión de la información, seguridad de la información, ciberseguridad y gobierno de datos, sin perjuicio del cumplimiento de las disposiciones legales aplicables y de los acuerdos de transmisión de datos suscritos entre las partes.
El propósito de la presente Política es compilar los principios, normas y buenas prácticas que rigen el tratamiento de datos personales respecto de los Titulares con los que
C.I. PROCAPS se relaciona (incluyendo, entre otros, clientes, consumidores, proveedores, contratistas, candidatos, trabajados, accionistas y demás grupos de interés), con el fin de proteger sus derechos, asegurar el cumplimiento normativo y promover la responsabilidad demostrada en todas las operaciones y actividades.
En desarrollo de su modelo operativo y tecnológico,
PROCAPS S.A. podrá tratar datos personales por cuenta de su filial o subsidiaria
C.I. PROCAPS, cuando esta última actúe como Responsable del tratamiento y
PROCAPS S.A. actúe como Encargado del tratamiento para la prestación de servicios tecnológicos, operativos o de soporte. Para estos efectos,
C.I. PROCAPS ha celebrado y podrá seguir celebrando con
PROCAPS S.A. acuerdos de transmisión de datos que definen el alcance del tratamiento, las instrucciones del Responsable, las obligaciones de confidencialidad y seguridad, la prohibición de uso para finalidades propias, la gestión de incidentes, el control de subencargados, las condiciones de acceso remoto, la devolución o supresión de la información, y las demás salvaguardas exigidas por la normativa colombiana.
La presente Política incorpora mecanismos para asegurar que los datos personales sean:
· Tratados de manera lícita, leal y transparente en relación con el titular.
· Recolectados con fines determinados, explícitos y legítimos, y no tratados posteriormente de manera incompatible con dichos fines.
· Adecuados, pertinentes y limitados al mínimo necesario en relación a los fines para los que se traten.
· Exactos y actualizados; adoptándose medidas razonables para su rectificación o supresión cuando sea procedente.
· Conservados únicamente durante el tiempo necesario para cumplir las finalidades del tratamiento y las obligaciones legales o contractuales aplicables.
· Tratados bajo controles y medidas de seguridad razonables y proporcionales al riesgo, y bajo un enfoque de responsabilidad demostrada.
Esta Política se expide como parte del enfoque de responsabilidad demostrada (accountability) de
C.I. PROCAPS, con el fin de evidenciar la implementación de controles y medidas de protección de datos personales y de gestión de riesgos asociados al tratamiento.
C.I. PROCAPS reconoce que, por la naturaleza de su operación y por su infraestructura tecnológica, algunos tratamientos pueden implicar accesos transfronterizos, transmisión internacional o intervención de terceros ubicados fuera de Colombia. En esos casos,
C.I. PROCAPS adoptará salvaguardas contractuales, técnicas y organizacionales que aseguren estándares equivalentes a los exigidos por la normativa colombiana, especialmente cuando el tratamiento involucre jurisdicciones con niveles de protección diferentes.
C.I. PROCAPS aplicará un enfoque de responsabilidad demostrada y gestión del riesgo en protección de datos personales, incorporando privacidad desde el diseño y por defecto en sus procesos y tecnologías. Cuando un tratamiento pueda implicar alto riesgo para los derechos de los titulares —incluyendo datos sensibles, biométricos, decisiones automatizadas o uso de inteligencia artificial—
C.I. PROCAPS realizará evaluaciones previas y, cuando corresponda, evaluaciones de impacto, documentando salvaguardas técnicas, organizacionales y contractuales. La presente Política se complementa con avisos de privacidad y autorizaciones específicas informadas al titular al momento de la recolección, según el canal o proceso aplicable.
La presente Política no constituye un contrato; refleja el compromiso de
C.I. PROCAPS con la protección de la información personal de los titulares y con el cumplimiento del régimen colombiano de protección de datos personales. En cumplimiento de la Ley 1581 de 2012 y su reglamentación aplicable,
C.I. PROCAPS pone a disposición de los titulares la presente Política de Protección y Tratamiento de Datos Personales, así como los canales para el ejercicio de sus derechos.
1. OBJETIVO
Establecer los lineamientos, criterios y reglas aplicables a la recolección, consulta, almacenamiento, ordenamiento, clasificación, catalogación, análisis, procesamiento, uso, circulación, transferencia, transmisión, supresión y demás formas de tratamiento realizadas por
C.I. PROCAPS, ya sea en calidad de Responsable y/o Encargado del tratamiento, con el fin de garantizar la protección de los derechos de los titulares, el cumplimiento de los principios y deberes legales aplicables, y la adecuada gestión de los riesgos asociados al tratamiento de datos personales, de conformidad con la Ley Estatutaria 1581 de 2012, el Decreto 1074 de 2015 y las demás normas que los modifiquen, reglamenten, adicionen o sustituyan. Lo anterior incluye los tratamientos efectuados mediante procesos manuales, automatizados, herramientas tecnológicas, plataformas digitales y, cuando aplique, sistemas de analítica avanzada o inteligencia artificial.
2. ALCANCE
La presente Política aplica a todo tratamiento de datos personales contenido en bases de datos, archivos físicos, electrónicos o digitales, realizado por
C.I. PROCAPS en desarrollo de su objeto social, de sus procesos corporativos, administrativos, laborales, comerciales, contractuales, de seguridad y de relacionamiento con sus diferentes grupos de interés, ya sea que actúe como “Responsable del tratamiento” y/o “Encargado del tratamiento” por cuenta de un tercero.
3. OBLIGATORIEDAD Y DESTINATARIOS.
La presente Política es de obligatorio cumplimiento para los colaboradores directos e indirectos, contratistas, consultores, proveedores, representantes legales, directivos, practicantes, aliados, Encargados, terceros y, en general, para toda persona que, por razón de sus funciones, actividades o relación con
C.I. PROCAPS, acceda, recolecte, almacene, use, consulte, circule, suprima o realice cualquier tratamiento de datos personales por cuenta de la compañía.
Los líderes de proceso y la Alta Dirección deberán promover su implementación efectiva, asegurar la asignación de recursos necesarios y adoptar las medidas de supervisión y control que correspondan dentro de sus competencias.
- IDENTIFICACIÓN DE LA EMPRESA RESPONSABLE DEL TRATAMIENTO
El Responsable del Tratamiento de los datos personales objeto de esta Política es
C.I. PROCAPS S.A. sociedad comercial identificada con NIT No. 802.009.120-6, con matrícula mercantil No. 270.639 del 12 de febrero de 1999, con domicilio principal en la Calle 80 NO. 78 B – 201 de la ciudad de Barranquilla (Colombia).
Para efectos del ejercicio de los derechos de los titulares y de la atención de consultas, reclamos y solicitudes relacionadas con protección y tratamiento de datos personales,
C.I. PROCAPS dispondrá de los canales de contacto informados en la presente Política o en el Aviso de Privacidad correspondiente.
- CANALES DE ATENCIÓN
Para el ejercicio de sus derechos de conocer, consultar, actualizar, rectificar, suprimir sus datos personales, revocar la autorización cuando ello proceda, o presentar peticiones, consultas o reclamos relacionados con el tratamiento de sus datos personales, los titulares, sus causahabientes o sus apoderados podrán comunicarse con
C.I. PROCAPS a través de los siguientes canales de atención:
| Ciudad |
Dirección |
Correo electrónico |
|
Teléfono |
|
| Barranquilla (Colombia) |
Calle 80 NO. 78 B - 201 |
habeasdata@procaps.com.co |
|
+57 (605) 3854321 |
|
Área responsable de la atención de peticiones, consultas y reclamos: Área de Cumplimiento Legal.
- Los canales de atención aquí informados podrán ser actualizados por C.I. PROCAPS cuando ello resulte necesario por razones operativas, administrativas o tecnológicas. Dichos cambios no constituirán una modificación sustancial de la presente Política y serán informados a los titulares mediante la actualización de la información publicada en la página web, aviso de privacidad o demás medios corporativos dispuestos para tal fin.
- MARCO NORMATIVO APLICABLE.
La presente Política se fundamenta, entre otras, en las siguientes disposiciones:
a. Constitución Política de Colombia, artículo 15.
b. Ley 1266 de 2008, en lo que resulte aplicable.
c. Ley 1581 de 2012.
d. Decreto Reglamentario 1377 de 2013 y Decreto 886 de 2014, en cuanto resulten aplicables y en lo no compilado o desarrollado por el Decreto 1074 de 2015
e. Decreto Único Reglamentario 1074 de 2015, en especial las disposiciones aplicables al tratamiento de datos personales.
f. Ley 2300 de 2023, en lo relacionado con canales, horarios, periodicidad y reglas de contactabilidad, cuando resulte aplicable.
g. Circular Externa 01 de 2024 de la Superintendencia de Industria y Comercio.
h. Circular Externa 02 de 2024 de la Superintendencia de Industria y Comercio.
i. Circular Externa 03 de 2024 de la Superintendencia de Industria y Comercio.
j. Circular Externa 02 de 2025 de la Superintendencia de Industria y Comercio.
k. Circular Externa 03 de 2025 de la Superintendencia de Industria y Comercio.
l. Todas las demás normas, instrucciones, guías, circulares y decisiones de autoridad competente que modifiquen, adicionen, sustituyan o resulten aplicables al tratamiento y protección de datos personales en Colombia.
7. DEFINICIONES
Para efecto de interpretación, aplicación e implementación de la presente Política, se tendrán las siguientes definiciones:
a. AUTORIZACIÓN: Consentimiento previo, expreso e informado del titular para llevar a cabo el tratamiento de datos personales.
b. AVISO DE PRIVACIDAD: Comunicación verbal o escrita generada por el Responsable de la información dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del tratamiento que se pretende dar a los datos personales.
c. BASE DE DATOS: Conjunto organizado de datos personales que sea objeto de tratamiento.
d. CANALES PARA EJERCER DERECHOS: Son los medios de recepción y atención de peticiones, consultas y reclamos que el Responsable del Tratamiento y el Encargado del Tratamiento deben poner a disposición de los Titulares de la información.
e. CONTRATO DE TRANSMISIÓN DE DATOS: Acuerdo mediante el cual
C.I. PROCAPS, en calidad de Encargado del Tratamiento, es autorizado por una de sus subsidiarias y/o filiales para tratar datos personales por cuenta de aquellas, delimitando el alcance del tratamiento, las obligaciones de confidencialidad, seguridad, uso restringido, subcontratación, incidentes y supresión o devolución de información.
f. DATO ANONIMIZADO: Información que ha sido sometida a un proceso técnico que impide identificar al titular de manera razonable, directa o indirectamente, de forma irreversible o con un riesgo no significativo de Re identificación.
g. DATO BIOMÉTRICO: Dato personal sensible relativo a características físicas, fisiológicas o conductuales de una persona natural, que permite o confirma su identificación única o unívoca, tales como huellas dactilares, reconocimiento facial, iris, voz, geometría de mano u otros similares.
h. DATO PERSONAL: Cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse a una persona natural.
i. DATO PÚBLICO: Es el dato que no es semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.
j. DATOS SENSIBLES: Se entiende por datos sensibles aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos.
k. DECISIÓN AUTOMATIZADA: Decisión adoptada total o parcialmente mediante medios automatizados, sin o con mínima intervención humana significativa, que puede producir efectos jurídicos o impactar de manera relevante a un titular.
l. ENCARGADO DEL TRATAMIENTO: Persona natural o jurídica, pública o privada que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.
m. EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS PERSONALES: Herramienta de análisis previo mediante la cual
C.I. PROCAPS identifica, evalúa y documenta los riesgos que un tratamiento de datos personales puede generar para los derechos y libertades de los titulares, así como las medidas previstas para prevenirlos, mitigarlos o controlarlos.
n. HABEAS DATA: Derecho de cualquier persona a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en el banco de datos y en archivos de entidades públicas y privadas.
o. INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN: Evento real o potencial que compromete o puede comprometer la confidencialidad, integridad, disponibilidad, autenticidad o seguridad de los datos personales tratados por
C.I. PROCAPS, incluyendo accesos no autorizados, pérdida, fuga, alteración, destrucción, divulgación indebida o uso no permitido de la información.
p. INFORMACIÓN ACCESIBLE AL PÚBLICO: Información disponible en entornos o fuentes a las que puede acceder un número indeterminado de personas, lo cual no implica, por sí mismo, que tenga la naturaleza de dato público ni habilita automáticamente su tratamiento sin base legal suficiente.
q. POLÍTICA DE PROTECCIÓN Y TRATAMIENTO DE DATOS PERSONALES: El documento formal aprobado por
C.I. PROCAPS que refleja las condiciones aplicables a cualquier operación de tratamiento frente a Datos Personales
r. PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO: Enfoque conforme al cual
C.I. PROCAPS incorpora medidas de protección de datos personales desde la planeación, diseño, adquisición, desarrollo, implementación y operación de procesos, productos, servicios, tecnologías y sistemas de información, garantizando que, por defecto, solo se traten los datos personales necesarios para cada finalidad legítima.
s. RESPONSABLE DEL TRATAMIENTO: Persona natural o jurídica, pública o privada que por sí misma o en asocio con otros, decida sobre la base de datos y/o Tratamiento de los datos.
t. SEUDONIMIZACIÓN: Tratamiento de datos personales mediante el cual la información ya no puede atribuirse a un titular específico sin utilizar información adicional, siempre que dicha información adicional se conserve separadamente y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos no se atribuyan a una persona identificada o identificable.
u. SISTEMA DE INTELIGENCIA ARTIFICIAL: Sistema basado en máquina que, para objetivos explícitos o implícitos, puede inferir a partir de la información que recibe cómo generar resultados tales como predicciones, contenidos, recomendaciones, clasificaciones o decisiones que influyen en entornos físicos o virtuales
v. TITULAR: Persona natural cuyos datos personales sean objeto de tratamiento.
w. TRATAMIENTO: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
x. TRANSFERENCIA: La transferencia de datos tiene lugar cuando el Responsable y/o Encargado del tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del tratamiento y se encuentra dentro o fuera del país.
y. TRANSFERENCIA DE TECNOLOGÍA: Cualquier operación o negocio jurídico mediante el cual
C.I. PROCAPS adquiere, licencia, implementa, cede, integra, desarrolla, recibe o pone a disposición tecnologías, plataformas, aplicaciones, herramientas, infraestructuras o soluciones que impliquen o puedan implicar tratamiento de datos personales.
z. TRANSMISIÓN: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un tratamiento por el Encargado por cuenta del Responsable.
8. PRINCIPIOS
En el desarrollo, interpretación y aplicación de la ley 1581 de 2012 por la cual se dictan disposiciones generales para la protección de datos personales y las normas que la complementan, modifican o adicionan, se aplicarán de manera armónica e integral los siguientes principios rectores:
a. PRINCIPIO DE LA LEGALIDAD: El Tratamiento de datos es una actividad reglada que debe sujetarse a lo establecido en la ley y las demás disposiciones que la desarrollen.
b. PRINCIPIO DE FINALIDAD: El tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al titular. En lo correspondiente a la recolección de datos personales,
C.I. PROCAPS se limitará a aquellos datos que sean pertinentes, adecuados y necesarios para la finalidad con la cual fueron recolectados o requeridos, de conformidad con la normatividad aplicable y con sus procedimientos internos.
c. PRINCIPIO DE LIBERTAD: El tratamiento solo puede ejercerse con el consentimiento previo, expreso, e informado del titular. Los datos personales solo podrán ser obtenidos o divulgados con previa autorización, o con la existencia de un mandato legal o judicial que releve el consentimiento.
d. PRINCIPIO DE VERACIDAD O CALIDAD: La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.
e. PRINCIPIO DE TRANSPARENCIA: En el tratamiento debe garantizarse el derecho del titular a obtener del Responsable del tratamiento o del Encargado del tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
f. PRINCIPIO DE ACCESO Y CIRCULACIÓN RESTRINGIDA: El tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la ley y la Constitución. En este sentido, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros autorizados conforme a la ley.
g. PRINCIPIO DE SEGURIDAD: La información sujeta a tratamiento por
C.I. PROCAPS, se deberá manejar con las medidas técnicas, humanas, administrativas y organizacionales que sean razonables y proporcionales al riesgo, con el fin de otorgar seguridad a los registros y evitar su adulteración, pérdida, consulta, uso, acceso o divulgación no autorizada o fraudulenta.
h. PRINCIPIO DE CONFIDENCIALIDAD: C.I. PROCAPS está obligada a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley.
Sin perjuicio de los principios rectores previstos en la Ley 1581 de 2012,
C.I. PROCAPS adoptará como criterios corporativos complementarios de interpretación y aplicación de la presente Política los siguientes:
I. RESPONSABILIDAD DEMOSTRADA (ACCOUNTABILITY): C.I. PROCAPS adoptará medidas útiles, oportunas, eficientes, verificables y documentadas para demostrar el cumplimiento del régimen de protección de datos personales, incluyendo la implementación de controles internos, asignación de responsabilidades, conservación de evidencias, gestión de incidentes, capacitación y seguimiento periódico.
II. NECESIDAD, PROPORCIONALIDAD Y MINIMIZACIÓN: C.I. PROCAPS procurará que el tratamiento de datos personales se limite a lo estrictamente pertinente, adecuado y necesario para la finalidad legítima informada al titular, evitando la recolección, uso o conservación excesiva de información.
III. PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO: C.I. PROCAPS incorporará medidas de protección de datos personales desde la planeación, diseño, adquisición, desarrollo, implementación y operación de procesos, productos, servicios, contratos, herramientas tecnológicas y sistemas de información, garantizando que, por defecto, solo se traten los datos personales necesarios para cada finalidad.
IV. GESTIÓN INTEGRAL DEL RIESGO: C.I. PROCAPS identificará, evaluará, documentará y gestionará los riesgos asociados al tratamiento de datos personales, en especial cuando involucre tecnologías emergentes, tratamientos masivos, datos sensibles, datos biométricos, decisiones automatizadas, transferencias internacionales o terceros que actúen por cuenta de la compañía.
9. DERECHOS QUE LE ASISTEN AL TITULAR DE LA INFORMACIÓN.
El titular de los datos personales tendrá los siguientes derechos:
a. Conocer, actualizar y rectificar sus datos personales frente a
C.I. PROCAPS, en su condición de Responsable y/o Encargado del tratamiento. Este derecho se podrá ejercer, entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no hayan sido autorizados.
b. Solicitar prueba de la autorización otorgada a
C.I. PROCAPS salvo cuando expresamente se exceptúe como requisito para el tratamiento, de conformidad con la ley.
c. Ser informado por
C.I. PROCAPS, previa solicitud, respecto del uso que le ha dado a sus datos personales.
d. Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o complementen, una vez haya agotado el trámite de consulta o reclamo ante
C.I. PROCAPS, cuando ello resulte procedente.
e. Revocar la autorización y/o solicitar la supresión del dato cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.
f. Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.
10. DERECHOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES.
C.I. PROCAPS asegurará en todo momento el respeto a los derechos prevalentes de los niños, niñas y adolescentes. Como regla general, queda proscrito el tratamiento de sus datos personales, salvo aquellos datos que sean de naturaleza pública o aquellos casos en que dicho tratamiento resulte excepcionalmente procedente conforme a la ley.
En los eventos en que
C.I. PROCAPS deba tratar datos personales de niños, niñas o adolescentes, dicho tratamiento solo se realizará cuando:
a. responda y respete el interés superior del niño, niña o adolescente;
b. asegure el respeto de sus derechos fundamentales;
c. sea estrictamente necesario y proporcional para la finalidad perseguida;
d. cuente con la autorización previa y expresa del representante legal del menor; y
e. se haya garantizado el derecho del niño, niña o adolescente a ser escuchado, valorando su opinión de acuerdo con su madurez, autonomía y capacidad para entender el asunto, en la medida que sea posible.
C.I. PROCAPS velará por el uso adecuado de los datos personales de niños, niñas y adolescentes y aplicará, en todos los casos, los principios y obligaciones previstos en la normatividad vigente en materia de protección de datos personales.
11. DEBERES DE C.I. PROCAPS.
a. Hacer uso de la información contenida en las bases de datos sólo para la finalidad para la que se encuentra facultado.
b. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de Hábeas Data.
c. Cuando se recolecten datos personales, deberá limitarse a aquellos pertinentes y adecuados para la finalidad para cual son requeridos conforme a lo establecido en las leyes. Para ello no se utilizarán medios engañosos o fraudulentos.
d. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
e. Realizar oportunamente la actualización, rectificación o supresión de los datos en los términos señalados por esta Política en el acápite de Procedimientos- Reclamos.
f. Habilitar medios de comunicación electrónica u otros que considere pertinentes que permitan atender de forma oportuna las consultas y reclamos presentados por los titulares de la información.
g. La información solicitada debe ser suministrada de forma gratuita y por cualquier medio, según lo requiera el titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan su acceso y deberá corresponder estrictamente a aquella que repose en la base de datos.
h. En el evento en que la certificación de la información autorizada sea solicitada físicamente y/o ésta necesite ser enviada por correo certificado, la empresa
C.I. PROCAPS podrá requerir al solicitante para que pague la suma que en gastos corresponda, sin que en ningún momento se pueda cobrar más de lo realmente facturado; en el evento de ser requerido, la empresa
C.I. PROCAPS deberá demostrar a la Superintendencia de Industria y Comercio el soporte de dichos gastos.
i. Adoptar las demás medidas necesarias para que la información suministrada a este se mantenga actualizada.
j. Rectificar la información cuando sea incorrecta.
k. Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
l. Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio.
m. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
n. Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares.
o. Establecer los mecanismos necesarios para obtener la autorización de los titulares del tratamiento de sus datos, que podrá ser otorgada a través de documento físico, electrónico o en cualquier otro formato que permita garantizar su posterior consulta.
p. Es obligación de
C.I. PROCAPS conservar la prueba de la autorización y entregar copia al titular de la información en caso de requerirla.
q. Establecer mecanismos sencillos y gratuitos que permitan al titular solicitar el reporte, modificación, supresión o actualización del dato, que pueden ser los mismos mecanismos utilizados para el otorgamiento del consentimiento sin perjuicio de los gastos que se puedan presentar con ocasión a la expedición y envío del mismo.
r. La información sujeta a tratamiento debe ser protegida mediante el uso de las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Para ello,
C.I. PROCAPS mantendrá protocolos de seguridad de obligatorio cumplimiento para el personal con acceso a los datos de carácter personal y a los sistemas de información.
s. El personal de
C.I. PROCAPS que intervenga en el tratamiento de datos personales está obligado a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento de acuerdo con lo dispuesto en el contrato laboral y/o demás disposiciones sujetas en la relación entre funcionario y la empresa.
t. Designar a un “Oficial de Datos Personales” que asuma la función de protección de datos personales y quien además velará por que, a través de los canales de atención, se tramiten las solicitudes de los titulares.
u. En principio el tratamiento de los datos personales de niños, niñas y adolescentes está prohibido por la ley, salvo que sean datos de naturaleza pública y/o cuando dicho tratamiento cumpla los parámetros y requisitos consagrados en la presente Política.
v. La empresa
C.I. PROCAPS utilizará los datos personales de acuerdo con la autorización dada por el titular y solamente los trasmitirá o transferirá a aliados, filiales o subsidiarias, terceros que podrán utilizar la información para el desarrollo de sus labores actuando en nombre de
C.I. PROCAPS y/o dando cumplimiento a los requerimientos de las autoridades, acogiéndonos a las leyes que aplican sobre la materia y respetando los Acuerdos de Servicio vigentes con terceros.
w. Sólo podrán recolectar, almacenar, usar o circular los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades que justificaron su tratamiento, teniendo en cuenta las disposiciones legales y aspectos administrativos, contables, fiscales, jurídicos e históricos de la información. Una vez cumplida la finalidad del tratamiento y sin perjuicio de normas legales que dispongan lo contrario,
C.I. PROCAPS deberá suprimir los datos personales. No obstante, los datos personales deberán ser conservados cuando así se requiera para el cumplimiento de una obligación legal o contractual.
x. Acreditar la existencia de la “Política de Protección y Tratamiento de Datos Personales” y la forma de acceder a la misma, la cual será publicada en la página web de la empresa, en redes sociales y en la sede principal.
y. Para la recolección, uso y tratamiento de datos personales,
C.I. PROCAPS deberá cumplir con los siguientes parámetros: (i) El tratamiento de los datos personales recogidos debe obedecer a una finalidad legítima de la cual debe ser informada al titular; (ii) El tratamiento que de los datos personales sólo puede llevarse a cabo con el consentimiento, previo, expreso e informado del titular; (iii) Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento; (iv) La información sujeta a tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible; (v) se prohíbe el tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error; (vi) Garantizarse el derecho del titular a obtener en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.
z. En el evento de surgir una modificación sustancial a la presente “Política de Protección y Tratamiento de Datos Personales”, la empresa
C.I. PROCAPS, deberá solicitar nuevamente al titular de la información, la autorización para el tratamiento de datos.
aa. Identificar, evaluar, gestionar y monitorear los riesgos asociados al tratamiento de datos personales, especialmente cuando involucren datos sensibles, biométricos, menores de edad, videovigilancia, inteligencia artificial, decisiones automatizadas, transferencias internacionales o terceros.
bb. Incorporar criterios de privacidad desde el diseño y por defecto en los procesos, productos, servicios, tecnologías, sistemas de información y relaciones con terceros que impliquen tratamiento de datos personales.
cc. Realizar evaluaciones de impacto en protección de datos personales cuando el tratamiento pueda generar altos riesgos para los derechos de los titulares, especialmente en casos de nuevas tecnologías, inteligencia artificial, tratamientos masivos, datos biométricos, decisiones automatizadas o datos sensibles.
dd. Mantener evidencia verificable del cumplimiento de la normatividad de protección de datos personales y de las medidas adoptadas para su implementación.
ee. Cuando
C.I. PROCAPS utilice inteligencia artificial, analítica avanzada, perfilamiento o procesos automatizados que impliquen tratamiento de datos personales, deberá asegurar que su uso sea legítimo, necesario, proporcional, verificable y supervisado, y adoptar medidas para prevenir sesgos, errores, discriminación y afectaciones desproporcionadas a los titulares.
ff. Garantizar mecanismos de supervisión y revisión humana cuando el tratamiento de datos personales sirva de base para decisiones automatizadas o semiautomatizadas con efectos jurídicos o impactos relevantes para los titulares.
gg. Abstenerse de tratar datos personales obtenidos de internet, redes sociales o fuentes abiertas por el solo hecho de ser accesibles al público, sin verificar previamente la existencia de una base legal suficiente.
hh. Verificar que los terceros que accedan a datos personales por cuenta de
C.I. PROCAPS ofrezcan garantías suficientes de confidencialidad, seguridad y cumplimiento normativo, y suscribir los instrumentos contractuales correspondientes.
ii. Realizar debida diligencia previa en la adquisición, implementación o actualización de tecnologías que impliquen tratamiento de datos personales, con el fin de identificar sus impactos y riesgos en materia de privacidad y seguridad.
jj. Implementar procedimientos internos para la identificación, reporte, contención, análisis, mitigación, documentación, remediación y cierre de incidentes de seguridad que comprometan datos personales, así como adoptar medidas correctivas y preventivas orientadas a evitar su repetición.
kk. Implementar programas periódicos de capacitación, sensibilización y actualización dirigidos al personal que intervenga en el tratamiento de datos personales, de acuerdo con el nivel de acceso, la criticidad del proceso y los riesgos asociados a sus funciones.
ll. Respetar, cuando resulte aplicable, los canales autorizados por los titulares para el envío de comunicaciones comerciales o publicitarias, atender las solicitudes de exclusión, oposición o revocatoria, y consultar los mecanismos legales de exclusión vigentes antes de adelantar actividades de prospección comercial. Definir e implementar criterios, plazos o tablas internas de conservación, bloqueo, anonimización, archivo y eliminación segura de datos personales, atendiendo a la finalidad del tratamiento, la naturaleza de los datos, las obligaciones legales o contractuales y los riesgos de conservación excesiva. Revisar y actualizar periódicamente la presente Política, así como los procedimientos internos relacionados con protección de datos personales, cuando existan cambios normativos, operativos, tecnológicos, contractuales o de riesgo que así lo hagan necesario.
12. POLÍTICA DE AUTORIZACIONES
Sin perjuicio de las excepciones previstas en la Ley, el tratamiento de datos personales por parte de
C.I. PROCAPS requiere la autorización previa, expresa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior. La autorización podrá manifestarse por escrito, de forma oral o mediante conductas inequívocas del titular que permitan concluir razonablemente que fue otorgada. En ningún caso el silencio podrá entenderse como autorización.
Al momento de solicitar la autorización,
C.I. PROCAPS deberá informar de manera clara y expresa:
a. Nombre e identificación de la persona a quien se le está solicitando autorización.
b. La identificación y los canales de
C.I. PROCAPS como Responsable del tratamiento.
c. Identificación de los datos que se están recolectando, cuando ello resulte procedente.
d. Las finalidades específicas para las cuales se solicita la autorización.
e. Los canales de atención y el procedimiento para el ejercicio de sus derechos de consulta, actualización, rectificación, supresión y revocatoria.
f. Los derechos que le asisten al titular.
g. El carácter facultativo de las respuestas a las preguntas o solicitudes que versen sobre datos sensibles o sobre datos de niños, niñas y adolescentes, cuando ello aplique.
Cuando la autorización incluya varias finalidades,
C.I. PROCAPS procurará diferenciarlas de forma clara, distinguiendo las necesarias de las accesorias u opcionales. La negativa del titular respecto de estas últimas no afectará la relación principal, salvo que se trate de datos o finalidades estrictamente indispensables.
C.I. PROCAPS podrá utilizar avisos de privacidad, formatos cortos, formularios, mensajes, interfaces electrónicas o cualquier otro mecanismo idóneo para informar al titular sobre el tratamiento de sus datos personales y la forma de acceder a la presente Política, sin perjuicio de la obligación de obtener la autorización cuando esta sea legalmente necesaria.
Cuando
C.I. PROCAPS utilice el aviso de privacidad, este tendrá por objeto informar al titular sobre la existencia de la presente Política, la forma de acceder a ella, las finalidades del tratamiento, los derechos que le asisten y los mecanismos dispuestos para conocer sus cambios sustanciales. La divulgación del aviso de privacidad no exime a
C.I. PROCAPS de poner en conocimiento del titular la presente Política.
En caso de cambios sustanciales en la identificación de
C.I. PROCAPS o en las finalidades del tratamiento que puedan afectar el contenido de la autorización,
C.I. PROCAPS informará oportunamente dichos cambios al titular antes de implementarlos. Cuando el cambio sustancial recaiga sobre la finalidad del tratamiento,
C.I. PROCAPS solicitará una nueva autorización.
Parágrafo. Cuando por razones técnicas, operativas, de espacio, formato, numero de caracteres o por la naturaleza del canal utilizado no sea posible incorporar en la autorización la totalidad de la información aquí señalada,
C.I. PROCAPS podrá complementarla mediante remisión expresa a la presente Política de Protección y Tratamiento de Datos Personales y/o al Aviso de Privacidad correspondiente, los cuales se entenderán incorporados de manera complementaria para todos los efectos, siempre que se informe al titular la forma clara, sencilla y permanente de acceder o consultarlos.
13. AVISO DE PRIVACIDAD.
Cuando no sea posible poner a disposición del titular la presente Política de Protección y Tratamiento de Datos Personales al momento de la recolección de la información,
C.I. PROCAPS informará por medio de un Aviso de Privacidad la existencia de esta Política, la forma de acceder a ella, las finalidades del tratamiento y demás información relevante sobre el tratamiento de los datos personales, a más tardar al momento de su recolección.
C.I. PROCAPS podrá utilizar avisos de privacidad generales o específicos, según el canal, medio, proceso, actividad, servicio, formulario, aplicación, micrositio, evento, programa o punto de contacto a través del cual se recolecten los datos personales. Dichos avisos podrán complementar la presente Política y desarrollar con mayor detalle aspectos relacionados con el alcance del tratamiento, las categorías de datos recolectados, las finalidades específicas, el uso de tecnologías como cookies, los destinatarios de la información, las condiciones de conservación, los canales para el ejercicio de derechos y demás condiciones particulares aplicables en cada caso.
El Aviso de Privacidad contendrá, como mínimo:
a. La identificación y los datos de contacto de
C.I. PROCAPS.
b. El tratamiento al cual serán sometidos los datos personales y la finalidad del mismo.
c. Los derechos que le asisten al titular.
d. Los mecanismos dispuestos para que el titular conozca la presente Política y los cambios sustanciales que se produzcan en ella o en el respectivo Aviso de Privacidad.
El Aviso de Privacidad podrá ser divulgado a través de documentos físicos o electrónicos, formularios, mensajes de datos, páginas web, aplicativos, micrositios, banners, avisos impresos, carteleras, grabaciones telefónicas o cualquier otro mecanismo idóneo que garantice el deber de informar al titular.
El Aviso de Privacidad vigente podrá ser consultado por los titulares en el apartado en la sección de privacidad disponible en la siguiente página web:
www.sofgenpharma.com
Parágrafo. El Aviso de Privacidad podrá ser modificado, actualizado o sustituido por
C.I. PROCAPS cuando resulte necesario. Los cambios sustanciales que se produzcan en el mismo serán informados a los titulares a través de los mismos medios o mecanismos utilizados para su divulgación, o mediante cualquier otro medio idóneo que permita su conocimiento y consulta.
14. EVENTOS EN LOS CUALES NO ES NECESARIA LA AUTORIZACIÓN DEL TÍTULAR DE LOS DATOS PERSONALES.
La autorización del titular de la información no será necesaria en los siguientes casos:
a. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial.
b. Datos de naturaleza pública.
c. Casos de urgencia médica o sanitaria.
d. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
e. Datos relacionados con el Registro Civil de las personas.
Parágrafo Primero. Cuando
C.I. PROCAPS realice tratamiento de datos personales al amparo de alguna de las excepciones legales en las que no se requiere autorización del titular, dejará constancia interna de la causal aplicada, de la finalidad del tratamiento, de la fuente de la información y, cuando corresponda, del soporte legal, administrativo, contractual, sanitario o judicial que justifique su procedencia.
Parágrafo Segundo. Cuando resulte procedente,
C.I. PROCAPS podrá obtener la autorización del titular mediante conductas inequívocas que permitan concluir de forma razonable que este autorizó el tratamiento de sus datos personales, siempre que previamente se le haya informado de manera clara la existencia del tratamiento, su finalidad y la forma de acceder a la Política de Protección y Tratamiento de Datos Personales o al Aviso de Privacidad correspondiente. En los canales telefónicos, la continuación voluntaria de la llamada después de la advertencia sobre el tratamiento de los datos podrá constituir conducta inequívoca, cuando exista información previa suficiente. En sistemas de videovigilancia, el ingreso o permanencia voluntaria en zonas debidamente señalizadas podrá constituir conducta inequívoca para la captación de imagen con fines de seguridad, control de acceso o protección de bienes e instalaciones.
15. LEGITIMACIÓN PARA EL EJERCICIO DEL DERECHO DEL TITULAR
Los derechos del titular establecidos en la Ley podrán ejercerse por las siguientes personas:
a. Por el titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que
C.I. PROCAPS ponga a su disposición.
b. Por los causahabientes del titular, quienes deberán acreditar tal calidad.
c. Por el representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.
d. Por estipulación a favor de otro o para otro.
Los derechos de los niños, niñas y adolescentes se ejercerán por las personas que estén facultadas para representarlos.
Parágrafo. Antes de atender una petición, consulta o reclamo,
C.I. PROCAPS podrá verificar la identidad del solicitante y exigir la acreditación de la calidad en que actúa, incluyendo, cuando corresponda, documentos que demuestren la condición de causahabiente, representante legal o apoderado. La información solicitada para estos efectos deberá ser pertinente y limitada a lo estrictamente necesario para validar la legitimación.
16. TRATAMIENTO AL CUAL SERÁN SOMETIDOS LOS DATOS Y FINALIDAD DEL MISMO.
El tratamiento de los datos personales de los titulares con los que
C.I. PROCAPS se relaciona en desarrollo de su objeto social, incluyendo clientes, proveedores, consumidores, distribuidores, contratistas, candidatos, colaboradores, accionistas y demás grupos de interés, se realizará conforme al marco legal aplicable y de acuerdo con las siguientes finalidades generales, sin perjuicio de las finalidades específicas que se informen al titular al momento de la recolección de sus datos personales:
a. Gestionar internamente la relación comercial, contractual, operativa y administrativa con clientes, distribuidores, proveedores y demás grupos de interés de los distintos segmentos de negocio de
C.I. PROCAPS.
b. Enviar comunicaciones, correspondencia, mensajes de texto, mensajes por sistemas de mensajería instantánea, correos electrónicos o realizar contacto telefónico con clientes, distribuidores y consumidores, a través de los canales autorizados y permitidos por la ley, en relación con actividades comerciales, publicitarias, de mercadeo, promocionales, ventas y demás actividades relacionadas.
c. Adelantar procesos de selección de personal, gestionar relaciones contractuales y laborales, garantizar el cumplimiento de las obligaciones derivadas de las mismas y otorgar beneficios a los empleados, directamente o a través de terceros.
d. Realizar análisis de potencial, segmentación y perfilamiento con fines comerciales respecto de proveedores, distribuidores y/o clientes, cuando ello resulte procedente y de conformidad con las autorizaciones otorgadas y la normatividad aplicable.
e. Gestionar trámites, solicitudes, peticiones, quejas y reclamos; realizar análisis de riesgo; y efectuar encuestas de satisfacción respecto de los productos y servicios de
C.I. PROCAPS.
f. Gestionar, analizar e investigar eventos, incidentes, quejas de calidad y demás novedades relacionadas con los productos farmacéuticos y/o comercializados por
C.I. PROCAPS, incluyendo actividades de farmacovigilancia, cuando resulte aplicable.
g. Realizar seguimiento a las personas que consumen y/o adquieren los productos comercializados por
C.I. PROCAPS, para fines de atención, soporte, calidad, seguridad del producto, gestión de solicitudes y demás actividades relacionadas.
h. Desarrollar actividades de responsabilidad social empresarial dirigidas a los distintos grupos de interés de
C.I. PROCAPS.
i. Gestionar la seguridad de las personas, los bienes, las instalaciones y los activos de información bajo custodia de
C.I. PROCAPS.
j. Organizar, estructurar, almacenar, custodiar y administrar bases de datos para el desarrollo de las finalidades descritas en la presente Política.
k. Dar cumplimiento a obligaciones legales, regulatorias, contractuales, administrativas y judiciales, así como atender requerimientos de autoridades competentes.
De manera particular, y según el grupo de interés de que se trate,
C.I. PROCAPS podrá tratar los datos personales para las siguientes finalidades específicas:
a. Finalidades respecto de clientes o usuarios de los productos o servicios:
- Efectuar las gestiones pertinentes para el desarrollo de la etapa precontractual, contractual y poscontractual con
C.I. PROCAPS, respecto de cualquiera de los productos o servicios ofrecidos por la compañía, hayan sido o no adquiridos por el Titular, o respecto de cualquier relación negocial subyacente que tenga con
C.I. PROCAPS.
- Registrar al Titular en los sistemas, planillas, listados, archivos o ficheros, físicos o electrónicos, administrados por
C.I. PROCAPS, para efectos de la ejecución de la relación jurídica comercial establecida con la compañía.
- Adelantar los procedimientos de facturación electrónica de los productos o servicios adquiridos por el Titular.
- Mantener el soporte de las operaciones, el seguimiento de incidentes y el cumplimiento de obligaciones contractuales y legales.
- Dar cumplimiento a las obligaciones legales, regulatorias y contractuales a cargo de
C.I. PROCAPS.
- Enviar mensajes, notificaciones o alertas a través de los canales autorizados y permitidos por la ley, para remitir y divulgar información legal, de seguridad, contractual, empresarial, educativa, comercial, publicitaria, promocional, de mercadeo, sorteos, eventos u otros beneficios.
- Enviar mensajes electrónicos, realizar contactos telefónicos, o efectuar comunicaciones a través de los canales autorizados y permitidos por la ley, para confirmar, actualizar o validar los datos personales del Titular cuando ello resulte necesario para la ejecución de la relación jurídica establecida con
C.I. PROCAPS.
- Contactar al Titular a través de correo electrónico, mensajería instantánea, mensajes de texto, comunicaciones formales o llamadas telefónicas, para el envío de documentos contractuales, informativos, estados de cuenta o facturas relacionados con las obligaciones derivadas de los contratos celebrados con
C.I. PROCAPS.
- Suministrar información a terceros vinculados contractualmente con
C.I. PROCAPS, cuando sea necesario para la ejecución del objeto contratado, la prestación de servicios asociados o el cumplimiento de obligaciones legales o contractuales.
- Llevar a cabo labores de archivo y gestión documental, conforme a las disposiciones legales vigentes.
- Realizar actividades administrativas y analíticas, tales como la administración de sistemas de información contabilidad, facturación, auditorias, marketing y, cuando resulte aplicable, procesamiento y verificación de cheques.
- Compartir información con aliados comerciales para el ofrecimiento de productos y servicios, cumpliendo las autorizaciones exigidas por la ley y por la presente Política.
- Comunicar novedades de los productos
C.I. PROCAPS e invitar a eventos o programas organizados por la compañía.
- Atender peticiones, quejas, reclamos, solicitudes, devoluciones, garantías y demás trámites relacionados con los productos o servicios ofrecidos por
C.I. PROCAPS.
- Consultar, verificar y confirmar información crediticia y comercial del Titular en Centrales de Riesgo y/o de Información, o ante cualquier otra entidad pública o privada, nacional, extranjera o multilateral que administre o maneje bases de datos o información crediticia, financiera, comercial o de servicios, para efectos de evaluar y, cuando resulte aplicable, otorgar financiación respecto de los bienes o productos adquiridos con
C.I. PROCAPS, siempre que cuente con la autorización correspondiente.
- Efectuar reportes a las centrales de riesgo e información, cumpliendo las condiciones y procedimientos establecidos en la normatividad vigente, especialmente en la ley 1266 de 2008 y sus normas concordantes.
- Administrar y gestionar los riesgos de Lavado de Activos, Financiación del Terrorismo, corrupción y, cuando resulte aplicable, financiación de la proliferación de armas de destrucción masiva, mediante procedimientos de conocimiento y verificación de contrapartes y beneficiarios finales, debida diligencia, consulta en listas, identificación de alertas, monitoreo, adopción de medidas de control y atención de requerimientos de autoridades competentes.
- Gestionar reportes, alertas, quejas de calidad, eventos relacionados con la seguridad de los productos y actividades de farmacovigilancia o tecnovigilancia, cuando resulte aplicable.
b. Finalidades respecto de Candidatos a trabajadores:
- Procesar las aplicaciones de vinculación laboral que
C.I. PROCAPS reciba por parte de los candidatos, dar trámite a las mismas y definirlas dentro del tiempo estipulado, según el proceso de selección o la convocatoria;
- Contactar al Titular a través de correo electrónico, mensajería instantánea, mensajes de texto, comunicaciones formales, llamadas telefónicas y demás canales autorizados y permitidos por la ley, en relación con el proceso de selección o la convocatoria.
- Verificar y validar la información suministrada por el candidato, incluyendo, cuando resulte procedente, su hoja de vida, formación académica, experiencia laboral, referencias y demás soportes relacionados con el proceso de selección.
- Programar, practicar y evaluar entrevistas, pruebas, valoraciones o demás mecanismos de selección definidos por
C.I. PROCAPS.
- Evaluar la aptitud e idoneidad del candidato para el cargo que aspira y, cuando resulte aplicable, dar cumplimiento a los requisitos de medicina preventiva y del trabajo conforme a la normatividad vigente.
- Llevar a cabo las labores de archivo y gestión documental de
C.I. PROCAPS, conforme las disposiciones legales vigentes.
- Conservar la información del candidato para futuros procesos de selección, cuando ello haya sido informado al titular y resulte procedente conforme a la ley.
- Administrar y gestionar los riesgos de Lavado de Activos, Financiación del Terrorismo, corrupción y demás riesgos de cumplimiento aplicables, mediante procedimientos de conocimiento, validación y verificación definidos por
C.I. PROCAPS.
- Compartir la información del candidato con filiales, subsidiarias o empresas asociadas con las que
C.I. PROCAPS mantenga vínculos corporativos o de colaboración, cuando exista una vacante o proceso de selección en el que su perfil pueda ser considerado, siempre que ello haya sido informado al titular y se cumpla la normatividad aplicable.
- Realizar validaciones relacionadas con ética, transparencia, prevención del fraude, conflictos de interés y demás verificaciones de integridad que resulten procedentes dentro del proceso de selección.
c. Finalidades respecto de trabajadores (empleados):
- Gestionar el cumplimiento de los términos establecidos en la relación laboral, incluyendo afiliación y aportes al sistema de seguridad social, suscripción del contrato laboral, administración de novedades, generación y procesamiento de pagos de nómina y beneficios laborales.
- Dar cumplimiento a la normatividad aplicable en materia laboral, seguridad social, pensiones, riesgos laborales, cajas de compensación familiar, impuestos y demás obligaciones legales a cargo de
C.I. PROCAPS.
- Cumplir instrucciones, requerimientos y órdenes emitidas por autoridades judiciales, administrativas o de control competentes.
- Implementar y ejecutar políticas, procedimientos y estrategias laborales, organizacionales, administrativas y operativas de
C.I. PROCAPS.
- Incluir al Titular en programas y actividades de capacitación, formación, evaluación, desarrollo, bienestar, seguridad y salud en el trabajo, cultura organizacional y demás iniciativas dirigidas al personal de
C.I. PROCAPS.
- Adelantar gestiones de medicina preventiva y del trabajo, salud ocupacional y vigilancia de la salud de los trabajadores, en conjunto con la administradora de riesgos laborales, prestadores de salud ocupacional y demás terceros autorizados, conforme a la normatividad aplicable.
- Contactar al Titular para impartir instrucciones, coordinar actividades, remitir comunicaciones y gestionar asuntos relacionados con las funciones, responsabilidades y obligaciones derivadas de la relación laboral.
- Llevar a cabo labores de archivo, custodia y gestión documental de la información laboral, conforme a las disposiciones legales vigentes.
- Crear tarjetas, credenciales y/o mecanismos de identificación del Titular, incluyendo, cuando resulte necesario, proporcional y legalmente procedente, el tratamiento de datos biométricos para fines de identificación y seguridad, los cuales se gestionarán como datos sensibles con las medidas y autorizaciones exigidas por la ley.
- Establecer y llevar controles de acceso a las instalaciones, áreas restringidas y recursos físicos o tecnológicos de
C.I. PROCAPS, incluyendo, cuando resulte necesario, proporcional y legalmente procedente, el uso de datos biométricos para fines de autenticación, seguridad y control de acceso, con sujeción a la normatividad aplicable sobre datos sensibles.
- Contactar al Titular a través de correo electrónico, mensajería instantánea, mensajes de texto, comunicaciones formales, llamadas telefónicas y demás canales autorizados y permitidos por la ley, para el envío de documentos contractuales, laborales, administrativos, informativos o de soporte relacionados con la relación laboral.
- Compartir información con aliados comerciales para el ofrecimiento de productos y servicios, cumpliendo las autorizaciones exigidas por la ley y por la presente Política.
- Comunicar novedades de los productos
C.I. PROCAPS e invitar al Titular a eventos, programas o actividades organizadas por la compañía.
- Realizar actividades administrativas y analíticas, tales como la administración de sistemas de información, contabilidad, facturación, auditorías y, cuando resulte aplicable, procesamiento y verificación de cheques.
- Publicar el rostro e imagen personal del Titular en informes de gestión, comunicaciones internas, carteleras y material corporativo de
C.I. PROCAPS, para documentar la estructura organizacional o actividades de capacitación, desarrollo, bienestar, seguridad y salud en el trabajo y demás actividades institucionales, de conformidad con las autorizaciones que resulten aplicables.
- Tratándose de exfuncionarios,
C.I. PROCAPS podrá conservar, aun después de finalizado el contrato de trabajo, la información necesaria para cumplir obligaciones legales o contractuales derivadas de la relación laboral, atender requerimientos de autoridades competentes y expedir certificaciones laborales solicitadas por el exfuncionario o por terceros autorizados por este.
- Realizar validaciones relacionadas con ética, transparencia, prevención del fraude, conflictos de interés y demás verificaciones de integridad que resulten procedentes en el marco de la relación laboral.
- Administrar y gestionar los riesgos de Lavado de Activos, Financiación del Terrorismo, Corrupción y demás riesgos de cumplimiento aplicables, mediante procedimientos de conocimiento, verificación, debida diligencia y validación definidos por
C.I. PROCAPS.
- Administrar los accesos del Titular a plataformas, sistemas de información, herramientas tecnológicas, cuentas corporativas, dispositivos, credenciales y demás recursos físicos o digitales necesarios para el desarrollo de sus funciones.
- Evaluar el desempeño, hacer seguimiento al cumplimiento de objetivos, competencias y responsabilidades del Titular, así como apoyar procesos de formación, desarrollo, promoción, movilidad interna y sucesión.
- Adelantar actuaciones, verificaciones e investigaciones internas relacionadas con el cumplimiento de obligaciones laborales, reglamentos internos, políticas corporativas, deberes de confidencialidad, uso adecuado de recursos, ética empresarial y demás disposiciones aplicables al Titular.
- Gestionar la seguridad del Titular, la continuidad del negocio, la atención de emergencias, la activación de protocolos de contingencia y la protección de personas, bienes, instalaciones y activos de información de
C.I. PROCAPS.
- Administrar la información de contactos de emergencia del Titular y utilizarla cuando resulte necesario para atender incidentes, emergencias, situaciones de salud o contingencias relacionadas con su vinculación laboral.
- Gestionar actividades de seguridad y salud en el trabajo, incluyendo reportes, investigaciones de incidentes o accidentes, evaluaciones ocupacionales, seguimiento de restricciones o recomendaciones laborales y cumplimiento de programas preventivos, conforme a la normatividad aplicable.
- Gestionar desplazamientos, viáticos, reservas, accesos, autorizaciones y demás aspectos logísticos asociados al desarrollo de las funciones del Titular.
- Administrar beneficios extralegales, convenios, auxilios, programas de bienestar, seguros y demás iniciativas ofrecidas por
C.I. PROCAPS o por terceros en favor del Titular, conforme a las autorizaciones que resulten aplicables.
- Utilizar la información del Titular para la atención de requerimientos, quejas, auditorías, actuaciones administrativas, judiciales o extrajudiciales, así como para la defensa de los derechos e intereses de
C.I. PROCAPS.
- Conservar y utilizar la información de exfuncionarios para atender obligaciones legales o contractuales, expedir certificaciones, gestionar referencias laborales autorizadas, atender requerimientos de autoridades y defender los intereses de
C.I. PROCAPS.
d. Finalidades de respecto de Proveedores o Contratistas:
- Registrar al Titular en los sistemas, planillas, listados, archivos o ficheros, físicos o electrónicos, administrados por
C.I. PROCAPS, para efectos de la prestación de los servicios contratados.
- Adelantar los procedimientos de facturación electrónica de los servicios contratados.
- Mantener el soporte de las operaciones, el seguimiento de incidentes y el cumplimiento de obligaciones contractuales y legales.
- Dar cumplimiento a las obligaciones legales, contractuales, regulatorias y administrativas a cargo de
C.I. PROCAPS.
- Enviar mensajes electrónicos, realizar contactos telefónicos o efectuar comunicaciones a través de los canales autorizados y permitidos por la ley, para confirmar o validar datos personales del Titular necesarios para la ejecución de la relación jurídica establecida con
C.I. PROCAPS.
- Contactar al Titular a través de correo electrónico, mensajería instantánea, mensajes de texto, comunicaciones formales o llamadas telefónicas, para el envío de documentos contractuales, informativos, estados de cuenta o facturas relacionados con las obligaciones derivadas de los contratos celebrados con
C.I. PROCAPS.
- Conceder acceso a portales o plataformas de interacción de proveedores y/o contratistas para surtir procesos internos de
C.I. PROCAPS asociados a la relación contractual.
- Suministrar información a terceros vinculados contractualmente con
C.I. PROCAPS, cuando sea necesario para la ejecución del objeto contratado, la prestación del servicio, la gestión operativa asociada o el cumplimiento de obligaciones legales o contractuales.
- Llevar a cabo labores de archivo y gestión documental de
C.I. PROCAPS, conforme las disposiciones legales vigentes.
- Validar, verificar y consultar información económica, comercial y transaccional del Titular con el propósito de establecer, ejecutar y mantener la relación jurídica con
C.I. PROCAPS.
- Realizar actividades administrativas y analíticas, tales como administración de sistemas de información, contabilidad, facturación, auditorías, marketing y, cuando resulte aplicable, procesamiento y verificación de cheques.
- Compartir información con aliados comerciales para el ofrecimiento de productos y servicios, cumpliendo todas las autorizaciones exigidas por la ley y por la presente Política.
- Comunicar novedades de los productos
C.I. PROCAPS e invitar a eventos o programas organizados por la empresa.
- Consultar, verificar y confirmar información crediticia y comercial del Titular en centrales de riesgo o de información, o ante entidades públicas o privadas, nacionales o extranjeras, que administren bases de datos crediticias, financieras, comerciales o de servicios, cuando ello resulte procedente para la relación con
C.I. PROCAPS.
- Para efectuar reportes a centrales de riesgo e información, se cumplirán todas las condiciones y procedimientos establecidos en la normatividad vigente, especialmente la Ley 1266 de 2008 y normas concordantes.
- Realizar validaciones relacionadas con ética, transparencia, prevención del fraude, conflictos de interés y demás verificaciones de integridad que resulten procedentes para la vinculación, ejecución y seguimiento de la relación contractual.
- Administrar y gestionar los riesgos de Lavado de Activos, Financiación del Terrorismo, corrupción y demás riesgos de cumplimiento aplicables, mediante procedimientos de conocimiento, verificación, debida diligencia y consulta en listas definidos por
C.I. PROCAPS.
- Gestionar accesos físicos y lógicos a instalaciones, áreas restringidas, sistemas o activos de información de
C.I. PROCAPS que sean necesarios para la ejecución del contrato, incluyendo controles de seguridad, credenciales, registro de ingresos y medidas de trazabilidad.
- Atender auditorías, revisiones, controles y evaluaciones de desempeño del proveedor o contratista, así como planes de mejora, cuando ello resulte necesario para asegurar la calidad, continuidad y cumplimiento del servicio.
- Gestionar obligaciones de seguridad y salud en el trabajo (SST) aplicables a la ejecución del contrato, cuando el proveedor/contratista preste servicios en instalaciones de
C.I. PROCAPS o bajo condiciones que lo requieran.
e. Finalidades respecto de Accionista de C.I. PROCAPS:
- Dar cumplimiento a las obligaciones y derechos derivados de su calidad de accionista de
C.I. PROCAPS.
- Remitir comunicaciones electrónicas, físicas y/o telefónicas a sus datos de contacto para informarle, citarlo o convocarlo a reuniones de los órganos sociales de
C.I. PROCAPS, y/o para enviarle documentos e informes que serán puestos a consideración en dichas reuniones.
- Remitir comunicaciones e información necesaria para el ejercicio de sus derechos como accionista, y/o para el cumplimiento de las obligaciones a cargo de
C.I. PROCAPS frente a sus accionistas.
- Realizar las actividades de administración integral del libro de registro de accionistas, incluyendo actualizaciones, certificaciones, anotaciones y controles correspondientes.
- Contactar al Titular a través de correo electrónico, mensajería instantánea, mensajes de texto, comunicaciones formales, llamadas telefónicas y demás
canales autorizados y permitidos por la ley, para el envío de documentos, comunicaciones informativas, estados de cuenta o documentación relacionada con su calidad de accionista de
C.I. PROCAPS.
- Llevar a cabo labores de archivo y gestión documental, conforme a las disposiciones legales vigentes.
- Atender trámites, solicitudes, quejas y reclamos presentados por los accionistas y dar respuesta por los canales dispuestos para ello.
- Comunicar novedades de productos
C.I. PROCAPS e invitar a eventos o programas organizados por
C.I. PROCAPS, cuando ello resulte procedente y conforme a las autorizaciones aplicables.
- Dar acceso a la información a autoridades judiciales o administrativas que la soliciten en ejercicio de sus funciones legales.
- Administrar y gestionar los riesgos de Lavado de Activos, Financiación del Terrorismo, corrupción y demás riesgos de cumplimiento aplicables, mediante procedimientos de conocimiento, verificación, debida diligencia, consulta en listas y validaciones definidas por
C.I. PROCAPS.
- Realizar validaciones relacionadas con ética, transparencia, prevención del fraude, conflictos de interés y demás verificaciones de integridad que resulten procedentes para la relación emisor–accionista y el cumplimiento de obligaciones corporativas.
- Dar cumplimiento a las actividades y fines necesarios de la relación emisor–accionistas, conforme a la normativa aplicable y a los estatutos y decisiones de los órganos sociales de
C.I. PROCAPS.
f. Tratamiento de Datos Personales Sensibles Obtenidos Mediante Videovigilancia.
C.I. PROCAPS utiliza sistemas de videovigilancia instalados en diferentes áreas internas y externas de sus instalaciones u oficinas. En razón de ello, informa al público en general sobre la existencia de estos mecanismos mediante avisos visibles y suficientes, en los cuales se indica la existencia del sistema, los canales de contacto y la forma de acceder a la Política que rige el tratamiento de la información captada.
La información recolectada a través de estos sistemas se utiliza para: (i) proteger la seguridad de las personas, bienes, instalaciones y activos de información; (ii) controlar, verificar y soportar el control de acceso a sedes, oficinas y establecimientos; (iii) prevenir, detectar e investigar incidentes de seguridad y atender requerimientos de autoridades competentes; y (iv) servir como soporte probatorio en actuaciones internas o externas, cuando ello sea necesario y procedente.
Las imágenes y/o videograbaciones tendrán acceso restringido y solo podrán ser consultadas por personal autorizado o por terceros que, en calidad de Encargados, presten servicios asociados al sistema (por ejemplo, monitoreo, mantenimiento o soporte), bajo obligaciones de confidencialidad y seguridad.
Parágrafo primero. C.I. PROCAPS podrá suministrar imágenes o videograbaciones únicamente: (i) a autoridades judiciales o administrativas competentes, cuando medie requerimiento u orden válida; (ii) al titular o a personas legitimadas, cuando sea procedente en el marco del ejercicio de derechos, previa verificación de identidad y legitimación; y (iii) en los demás casos permitidos por la ley. En todo caso,
C.I. PROCAPS adoptará medidas razonables para proteger los derechos de terceros que pudieran aparecer en las imágenes.
Parágrafo segundo. La autorización para el tratamiento de imágenes captadas por videovigilancia podrá obtenerse mediante conductas inequívocas, cuando el titular, debidamente informado a través de avisos visibles, ingrese o permanezca voluntariamente en zonas señalizadas como áreas bajo videovigilancia.
Parágrafo tercero. Las grabaciones se conservarán únicamente por el tiempo estrictamente necesario para cumplir las finalidades descritas, conforme a los criterios internos de conservación y a las disposiciones legales aplicables, y luego serán eliminadas o sometidas a medidas de restricción/archivo seguro cuando corresponda.
Parágrafo cuarto. C.I. PROCAPS informará al titular, al momento de la recolección o a través de los avisos y canales dispuestos, las finalidades del tratamiento y la forma de ejercer sus derechos.
g. Tratamiento de datos biométricos para seguridad y control de acceso a zonas restringidas.
C.I. PROCAPS podrá implementar, mecanismos de control de acceso basados en validación biométrica en zonas de acceso restringido o de seguridad reforzada, cuando ello resulte necesario, proporcional y razonable para la protección de personas, bienes, instalaciones, activos de información y cumplimiento de controles internos de seguridad.
Estas zonas podrán incluir, entre otras, áreas de almacenamiento o manejo de materias primas controladas, bodegas de inventario, laboratorios, áreas de calidad, zonas de producción, cuartos técnicos, cuartos de servidores, áreas con documentación sensible o regulada, y demás espacios que, por su criticidad operativa o regulatoria, requieran controles estrictos de ingreso y permanencia.
Para estos efectos,
C.I. PROCAPS podrá requerir la recolección previa de datos biométricos de empleados y/o contratistas autorizados para acceder a dichas zonas, con el fin exclusivo de autenticación, verificación de identidad y control de acceso. Los datos biométricos, por su naturaleza, serán tratados como datos personales sensibles, y su recolección y uso se realizará bajo un estándar reforzado de protección.
En la implementación de estos mecanismos,
C.I. PROCAPS:
I. Informará de manera previa, clara y expresa la finalidad específica del tratamiento biométrico, el tipo de dato biométrico a recolectar, el sistema a utilizar, el alcance del control y las zonas a las que aplica.
II. Obtendrá autorización explícita, previa e informada del titular (empleado o contratista), dejando evidencia verificable y consultable de dicha autorización, salvo que aplique una excepción legal.
III. Informará el carácter facultativo de suministrar datos biométricos, por tratarse de datos sensibles, y evaluará e implementará, cuando sea razonable, alternativas de autenticación menos intrusivas para quienes no otorguen autorización, especialmente cuando ello no comprometa la seguridad del área.
IV. Limitará el tratamiento a lo estrictamente necesario para el control de acceso, evitando usos secundarios o incompatibles (por ejemplo, fines comerciales, disciplinarios no relacionados con seguridad, o reutilización para propósitos distintos).
V. Implementará medidas técnicas, humanas y administrativas reforzadas de seguridad, incluyendo control estricto de acceso, cifrado o medidas equivalentes, segregación de entornos, registros de auditoría, y restricciones de consulta y uso.
VI. Restringirá el acceso a los datos biométricos únicamente al personal estrictamente autorizado y/o a terceros Encargados que presten servicios asociados al sistema, bajo obligaciones contractuales de confidencialidad, seguridad, no uso para finalidades propias y gestión de incidentes.
VII. Definirá criterios de conservación y eliminación: los datos biométricos se conservarán únicamente durante el tiempo necesario para el control de acceso o mientras el titular tenga autorización vigente para ingresar a la zona restringida, y serán eliminados o inutilizados cuando cese la finalidad, se revoque la autorización (cuando sea procedente) o finalice la relación contractual/laboral, sin perjuicio de obligaciones legales de conservación.
VIII. Adoptará procedimientos para atender solicitudes de consulta, actualización, supresión o revocatoria de autorización, cuando ello resulte procedente conforme a la ley y sin afectar el cumplimiento de obligaciones de seguridad y controles internos.
IX. En caso de incidentes de seguridad que puedan comprometer datos biométricos, activará los protocolos internos de gestión de incidentes y adoptará medidas correctivas y preventivas.
La implementación de mecanismos biométricos no implicará que
C.I. PROCAPS trate estos datos para finalidades distintas a la autenticación y control de acceso a zonas restringidas. Cualquier ampliación de finalidades requerirá información previa y, cuando aplique, una nueva autorización.
17. COBRANZA, MERCADEO Y COMUNICACIONES COMERCIALES.
C.I. PROCAPS podrá tratar datos personales para la gestión de comunicaciones comerciales, publicitarias, promocionales, de mercadeo y/o de cobranza, cuando exista base legal suficiente y, cuando aplique, autorización previa, expresa e informada del titular, conforme a la normativa de protección de datos personales y a la Ley 2300 de 2023 en lo que resulte aplicable.
1. Canales de contacto y preferencias del titular.
C.I. PROCAPS realizará comunicaciones comerciales o de cobranza a través de canales idóneos, autorizados y permitidos por la ley, respetando las preferencias, revocatorias, oposiciones, exclusiones y solicitudes de no contacto registradas por el titular.
C.I. PROCAPS implementará mecanismos para que el titular pueda solicitar, en cualquier momento, el cese de comunicaciones comerciales o promocionales por los canales dispuestos en la Política y el Aviso de Privacidad.
2. Registro de exclusión y medidas de control.
Para comunicaciones comerciales y publicitarias,
C.I. PROCAPS verificará, cuando resulte aplicable, el Registro de Números Excluidos (RNE) y/o mecanismos equivalentes de exclusión definidos por autoridad competente, y adoptará controles internos (listas de exclusión, segmentación, registro de consentimientos y “no contacto”) para evitar envíos indebidos.
3. Cobranza directa o por terceros.
Cuando
C.I. PROCAPS realice gestiones de cobranza directamente o a través de terceros, establecerá controles para que la gestión sea realizada de manera proporcional, respetuosa y conforme a ley, y exigirá a los proveedores o terceros Encargados obligaciones contractuales de confidencialidad, seguridad, uso restringido y trazabilidad. Lo anterior incluye la obligación del tercero de respetar las instrucciones de
C.I. PROCAPS, los canales autorizados y las restricciones aplicables al tratamiento.
4. Contacto a referencias o terceros.
Cuando la operación implique contacto con referencias o terceros,
C.I. PROCAPS limitará el tratamiento al mínimo necesario, se abstendrá de divulgar información no pertinente y aplicará criterios de necesidad, finalidad y acceso restringido, de conformidad con el régimen de protección de datos personales y las reglas aplicables a contactabilidad.
5. Evidencia y responsabilidad demostrada.
C.I. PROCAPS conservará evidencia verificable de (i) las autorizaciones otorgadas cuando sean exigibles, (ii) los mecanismos de exclusión u oposición, (iii) la trazabilidad de campañas o comunicaciones relevantes, y (iv) las medidas adoptadas para atender solicitudes de cancelación o no contacto.
18. DATOS SENSIBLES.
C.I. PROCAPS restringirá el tratamiento de datos personales sensibles y, en general, se abstendrá de recolectarlos o tratarlos salvo cuando ello sea estrictamente necesario, proporcional y esté legalmente permitido. En todo caso, cuando
C.I. PROCAPS recolecte datos sensibles, informará al titular: (i) el carácter facultativo de responder preguntas o suministrar datos sensibles, y (ii) la finalidad específica del tratamiento:
Para el caso de datos personales sensibles,
C.I. PROCAPS podrá hacer uso y tratamiento de ellos cuando:
a. El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
b. El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este se encuentre física o jurídicamente incapacitado. En estos eventos, los representantes legales deberán otorgar su autorización.
c. El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial
.
d. El Tratamiento tenga una finalidad histórica, estadística o científica. En este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los Titulares.
Parágrafo primero. Sin perjuicio de lo previsto en el presente capítulo,
C.I. PROCAPS aplicará reglas reforzadas para el tratamiento de datos personales sensibles. En particular,
C.I. PROCAPS:
I. Informará al titular, de manera previa y clara, el carácter facultativo de suministrar datos sensibles y la finalidad específica del tratamiento, salvo que exista una excepción legal aplicable.
II. Limitará la recolección y el tratamiento de datos sensibles a lo estrictamente necesario y proporcional para la finalidad informada, evitando recolección excesiva o usos incompatibles.
III. Restringirá el acceso a datos sensibles a personal estrictamente autorizado bajo el principio de acceso por necesidad, aplicando medidas reforzadas de seguridad y confidencialidad (incluyendo controles de acceso, trazabilidad, segregación y medidas técnicas razonables como cifrado o equivalentes).
IV. Conservará los datos sensibles únicamente por el tiempo necesario para cumplir la finalidad informada o por los términos exigidos por la ley, y luego procederá a su eliminación, anonimización o restricción, según corresponda.
C.I. PROCAPS, como regla general, no someterá los datos personales sensibles a procesos de decisión automatizada o perfilamiento que produzcan efectos jurídicos o impactos significativos para el titular.
Así mismo,
C.I. PROCAPS restringirá el uso de sistemas de inteligencia artificial o analítica avanzada para el tratamiento de datos sensibles siempre que sea posible, privilegiando alternativas menos intrusivas. Cuando, de forma excepcional, sea necesario utilizar tecnologías automatizadas o IA para tratar datos sensibles,
C.I. PROCAPS:
- Verificará la existencia de una base legal suficiente y, cuando aplique, obtendrá autorización explícita;
- Realizará una evaluación previa de riesgos y, cuando sea probable un alto riesgo, un estudio de impacto en protección de datos personales;
- Implementará supervisión humana significativa, controles para prevenir sesgos o discriminación, y medidas precautorias cuando exista incertidumbre sobre daños relevantes;
- Documentará la justificación, la finalidad, las medidas de mitigación y la trazabilidad del tratamiento.
Parágrafo. El acceso a datos sensibles será restringido a personal estrictamente autorizado y se aplicarán medidas reforzadas de seguridad, confidencialidad y minimización. Los datos sensibles se conservarán únicamente por el tiempo necesario para cumplir la finalidad informada o por los términos exigidos por la ley. Los datos biométricos se considera datos sensibles y se tratarán bajo estándares reforzadas según lo dispuesto en el anterior capítulo.
19. TRATAMIENTO DE DATOS PERSONALES EN SISTEMAS DE INTELIGENCIA ARTIFICIAL Y DECISIONES AUTOMATIZADAS.
Cuando
C.I. PROCAPS utilice, desarrolle, contrate o implemente sistemas de inteligencia artificial (IA), analítica avanzada, perfilamiento o automatización que impliquen tratamiento de datos personales —incluyendo entrenamiento, prueba, validación, despliegue, monitoreo y mejora continua— aplicará los principios del régimen colombiano de protección de datos personales y los lineamientos impartidos por la Superintendencia de Industria y Comercio.
1. Ponderación, necesidad y proporcionalidad.
C.I. PROCAPS evaluará previamente si el tratamiento de datos personales mediante IA es idóneo, necesario, razonable y proporcional para la finalidad pretendida, privilegiando alternativas menos intrusivas cuando sea posible.
2. Enfoque precautorio y gestión del riesgo.
C.I. PROCAPS adoptará un enfoque preventivo y de gestión de riesgos, de manera que, si existe incertidumbre razonable sobre afectaciones relevantes a titulares, implementará medidas de mitigación, restricciones o abstención del tratamiento cuando corresponda.
3. Evaluación de impacto (PIA/EIPD).
Cuando sea probable un alto riesgo para los derechos de los titulares (por ejemplo, uso de datos sensibles, biométricos, tratamiento masivo, decisiones automatizadas con efectos relevantes, uso de nuevos modelos o fuentes,
C.I. PROCAPS realizará una evaluación de impacto en protección de datos personales que, como mínimo, describa el tratamiento, identifique riesgos, establezca medidas de mitigación, defina controles de seguridad y deje trazabilidad de decisiones.
4. Datos de fuentes abiertas e información “accesible al público”.
C.I. PROCAPS no tratará datos personales obtenidos de internet, redes sociales o fuentes abiertas solo por el hecho de ser accesibles al público, sin verificar previamente una base legal suficiente y las condiciones de información y transparencia aplicables.
5. Datos sensibles y menores de edad.
C.I. PROCAPS restringirá el uso de IA para el tratamiento de datos sensibles y datos de niños, niñas y adolescentes, privilegiando alternativas no automatizadas cuando sea posible. Como regla general,
C.I. PROCAPS no someterá datos sensibles a procesos de decisión automatizada con efectos jurídicos o impactos significativos para el titular, salvo habilitación legal y controles reforzados.
6. Calidad, sesgos y explicabilidad operativa.
C.I. PROCAPS adoptará medidas para asegurar calidad, pertinencia y actualización de datos usados por sistemas de IA, y aplicará controles para prevenir sesgos indebidos, discriminación y errores relevantes. Cuando el tratamiento implique decisiones automatizadas con impacto significativo,
C.I. PROCAPS implementará supervisión humana significativa y mecanismos de revisión.
7. Proveedores, plataformas y cadena de subencargados.
Cuando
C.I. PROCAPS use herramientas de terceros (incluyendo IA como servicio), exigirá garantías contractuales y técnicas: uso restringido, confidencialidad, seguridad, subencargados, incidentes, auditoría, transferencia/transmisión internacional, y eliminación/retorno de datos según corresponda.
8. Evidencia y responsabilidad demostrada.
C.I. PROCAPS documentará: la base legal, finalidades, evaluación de riesgos, evaluación de impacto cuando aplique, decisiones de mitigación, controles implementados, pruebas relevantes y auditorías, con el fin de demostrar cumplimiento ante titulares y autoridades.
20. DATOS DE LOS NIÑOS, NIÑAS Y ADOLESCENTES
El tratamiento de datos personales de niños, niñas y adolescentes está prohibido, excepto cuando se trate de datos de naturaleza pública, y cuando dicho tratamiento cumpla con los siguientes parámetros y/o requisitos:
a. Que respondan y respeten el interés superior de los niños, niñas y adolescentes.
b. Que se obtenga la autorización previa, expresa e informada del representante legal del niño, niña o adolescente, salvo que exista una excepción legal aplicable.
c. Que se garantice el derecho del niño, niña o adolescente a ser escuchado, y que su opinión sea valorada teniendo en cuenta su madurez, autonomía y capacidad para entender el asunto.
d. Que se asegure el respeto de sus derechos fundamentales.
e. Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad informada y se adopten medidas reforzadas de seguridad, confidencialidad y acceso restringido.
Parágrafo. El tratamiento de datos personales de niños, niñas y adolescentes será excepcional y se realizará con medidas reforzadas de seguridad, confidencialidad y acceso restringido.
C.I. PROCAPS no utilizará estos datos con fines publicitarios o de prospección comercial, ni los someterá a perfilamiento o decisiones automatizadas con impactos significativos, salvo habilitación legal expresa.
C.I. PROCAPS podrá implementar mecanismos razonables para verificar la identidad y la calidad de representante legal de quien otorgue la autorización y conservará dichos datos únicamente por el tiempo estrictamente necesario para la finalidad informada, salvo obligación legal.
21. TRANSFERENCIA DE TECNOLOGÍA Y ADOPCIÓN DE PLATAFORMAS QUE TRATEN DATOS PERSONALES.
C.I. PROCAPS reconoce que la adquisición, licenciamiento, implementación, integración, actualización o uso de tecnologías que impliquen tratamiento de datos personales (incluyendo plataformas, software, servicios en la nube, herramientas analíticas, sistemas de IA, soluciones de ciberseguridad, RR. HH., CRM, ERP, gestión de calidad y laboratorios) puede generar riesgos para los derechos de los titulares. Por ello, adoptará las instrucciones aplicables emitidas por la Superintendencia de Industria y Comercio para procesos de transferencia de tecnología con incidencia en datos personales.
1. Debida diligencia previa.
Antes de implementar o contratar una tecnología que trate datos personales,
C.I. PROCAPS realizará una evaluación previa que incluya, según el caso:
a) descripción del tratamiento, categorías de datos, finalidades y roles (Responsable/Encargado);
b) identificación de flujos, accesos remotos, subencargados y posibles transferencias/transmisiones internacionales;
c) revisión de medidas de seguridad (control de acceso, segregación, registros de auditoría, cifrado o medidas equivalentes, retención y eliminación);
d) evaluación de riesgos y definición de medidas de mitigación; y
e) cuando sea probable alto riesgo, una evaluación de impacto en protección de datos personales.
2. Privacidad desde el diseño y por defecto.
C.I. PROCAPS incorporará controles de privacidad desde el diseño y por defecto en la planeación y adopción tecnológica, de manera que por defecto se trate solo la información necesaria para cada finalidad y se reduzcan superficies de exposición.
3. Contratos y garantías mínimas.
C.I. PROCAPS exigirá que los contratos con proveedores o sociedades vinculadas que participen en el tratamiento incluyan, como mínimo: alcance, instrucciones, finalidades, confidencialidad, seguridad, gestión de incidentes, subencargados, auditoría, retorno/eliminación, cooperación con titulares y autoridades, y reglas de transmisión/transferencia internacional cuando aplique.
4. Países con menor nivel de protección y estándares equivalentes.
Cuando una tecnología implique acceso o tratamiento desde jurisdicciones con menor nivel de protección,
C.I. PROCAPS establecerá acuerdos que aseguren estándares mínimos equivalentes a los exigidos por la normativa colombiana, incluyendo salvaguardas contractuales, técnicas y organizacionales.
C.I. PROCAPS podrá utilizar cláusulas contractuales modelo como herramienta complementaria cuando corresponda.
5. Implementación, monitoreo y mejora continua.
C.I. PROCAPS no pondrá en operación tecnologías críticas sin que se hayan implementado las salvaguardas definidas en la evaluación previa. Posteriormente, realizará seguimiento y revisiones periódicas (técnicas y de cumplimiento) para verificar continuidad de controles, cambios de proveedor, nuevos subencargados, actualizaciones del software, variaciones de flujo internacional y riesgos emergentes.
6. Evidencia.
C.I. PROCAPS conservará evidencia de la evaluación previa, aprobaciones internas, decisiones de mitigación, contratos, auditorías y revisiones, como parte de su responsabilidad demostrada.
22. PERSONAS A QUIENES SE LES PUEDE SUMINISTRAR LA INFORMACIÓN
La información que reúna las condiciones establecidas en la ley podrá suministrarse a las siguientes personas:
a. A los titulares, sus causahabientes debidamente acreditados o sus representantes legales o apoderados.
b. A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial.
c. A los terceros autorizados por el titular o por la ley.
Parágrafo. Antes de suministrar información,
C.I. PROCAPS podrá solicitar y verificar la identidad del solicitante y la calidad en la que actúa, con el fin de garantizar el acceso restringido y evitar divulgaciones no autorizadas. Así mismo, cuando
C.I. PROCAPS comunique datos personales a terceros que actúen en calidad de Encargados del tratamiento, dicha comunicación se realizará bajo las condiciones legales y contractuales aplicables, con obligaciones de confidencialidad, seguridad y uso restringido de la información.
23. TRANSFERENCIA INTERNACIONAL DE DATOS
C.I. PROCAPS no realizará transferencia de datos personales a países que no proporcionen niveles adecuados de protección, conforme al artículo 26 de la ley 1581 de 2012 y los estándares fijados por la Superintendencia de Industria y Comercio.
Se entiende que un país ofrece un nivel adecuado de protección cuando cumple con los estándares fijados por la Superintendencia de Industria y Comercio. Cuando el país de destino no se encuentre reconocido con un nivel adecuado,
C.I. PROCAPS verificará si la transferencia se encuentra amparada por alguna excepción legal o si corresponde solicitar la declaratoria de conformidad ante la Superintendencia de Industria y Comercio.
De manera excepcional,
C.I. PROCAPS podrá efectuar transferencias internacionales de datos personales cuando se configure alguna de las causales previstas en el artículo 26 de la ley 1581 de 2012, entre ellas:
a. El titular del dato haya otorgado su autorización previa, expresa e inequívoca para efectuar la transferencia.
b. Intercambio de datos de carácter médico cuando lo exija el tratamiento por razones de salud o higiene pública.
c. La transferencia sea necesaria para la ejecución de un contrato entre el titular y
C.I. PROCAPS como Responsable y/o Encargado del tratamiento.
d. Transferencias bancarias y bursátiles acorde con la legislación aplicable a dichas transacciones.
e. Transferencia de datos acordadas en el marco de tratados internacionales en los cuales Colombia sea parte, con fundamento en el principio de reciprocidad.
f. Transferencias legalmente exigidas para salvaguardar un interés público o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Parágrafo primero. Cuando se presente una transferencia internacional,
C.I. PROCAPS suscribirá los acuerdos que regulen en detalle las obligaciones, cargas y deberes de las partes, incluyendo medidas técnicas, humanas y administrativas que aseguren un estándar de protección equivalente al exigido por la normativa colombiana, especialmente cuando el país de destino tenga un nivel de protección menor.
Parágrafo segundo. Cuando el país de destino no esté en la lista de países con nivel adecuado y la operación se encuentre dentro de las excepciones del artículo 26,
C.I. PROCAPS podrá incorporar cláusulas contractuales modelo (Circular Externa 003 de 2025) como herramienta para reforzar la protección de los titulares y estandarizar obligaciones entre las partes.
Parágrafo tercero. Previo a ejecutar una transferencia internacional,
C.I. PROCAPS deberá: (i) clasificar el flujo como transferencia o transmisión según el rol del receptor; (ii) documentar la base legal (excepción, adecuación o declaratoria de conformidad); (iii) verificar salvaguardas técnicas (seguridad, acceso, cifrado/medidas equivalentes, registro de accesos, segregación) y contractuales; y (iv) conservar evidencia del análisis y de los acuerdos suscritos, para fines de responsabilidad demostrada.
El concepto técnico de viabilidad deberá emitirse por el área de Tecnología y Seguridad de la Información, y el concepto jurídico de viabilidad por el área responsable de protección de datos y/o jurídica, de acuerdo con los procedimientos internos de
C.I. PROCAPS.
24. TRANSMISIÓN INTERNACIONAL DE DATOS PERSONALES
La transmisión internacional de datos personales (esto es, la comunicación de datos desde
C.I. PROCAPS como Responsable a un tercero en el exterior que actúe como Encargado para realizar tratamiento por cuenta de
C.I. PROCAPS) no requerirá ser informada al titular ni contar con su consentimiento adicional, siempre que exista un contrato en los términos del artículo 25 del Decreto 1377 de 2013.
Páragrafo primero. Cuando sociedades vinculadas del grupo empresarial (matriz, filiales o subsidiarias) accedan desde el exterior a la infraestructura tecnológica anclada en
PROCAPS S.A. para ejecutar actividades de soporte, operación tecnológica u otros tratamientos por cuenta de
C.I. PROCAPS, dicho acceso transfronterizo se gestionará como transmisión internacional y estará sujeto a las salvaguardas legales, técnicas y contractuales aquí previstas.
En todo caso,
C.I. PROCAPS exigirá la suscripción de un contrato (o acuerdo intercompañía) que regule como mínimo:
a. Alcance del tratamiento y categorías de datos.
b. Actividades específicas que realizará el Encargado por cuenta de
C.I. PROCAPS.
c. Obligaciones del Encargado frente a
C.I. PROCAPS y a los titulares, conforme al régimen colombiano.
d. Uso limitado a las finalidades instruidas y prohibición de uso propio o no autorizado.
e. Reglas de confidencialidad, acceso restringido, y medidas de seguridad proporcionales a la criticidad de la información.
f Gestión de incidentes: notificación inmediata a
C.I. PROCAPS y cooperación en contención, investigación y remediación.
g. Subencargados: autorización previa (general o específica), obligaciones equivalentes y trazabilidad.
h. Ubicación/entornos de tratamiento, acceso remoto, registros de acceso y auditoría.
i. Devolución o supresión de datos al finalizar la prestación, salvo retenciones legales aplicables.
j. Cooperación en la atención de consultas, reclamos y requerimientos de autoridades.
Parágrafo primero.
C.I. PROCAPS podrá incorporar cláusulas contractuales modelo (Circular Externa 003 de 2025) como instrumento complementario para estandarizar obligaciones y reforzar salvaguardas en transmisiones internacionales, especialmente cuando el Encargado se encuentre en países sin nivel adecuado de protección.
Parágrafo segundo. C.I. PROCAPS se asegurará que
PROCAPS S.A. mantenga el control y la administración central de su infraestructura tecnológica y que se apliquen controles de seguridad para accesos transfronterizos (gestión de identidades, perfiles por rol, autenticación fuerte cuando aplique, registros de acceso, monitoreo, segregación de ambientes, y medidas criptográficas o equivalentes), de manera que el acceso desde el exterior no implique disminución de los estándares de protección exigidos por la normativa colombiana.
25. CONSERVACIÓN, BLOQUEO Y ELIMINACIÓN DE DATOS PERSONALES
C.I. PROCAPS conservará los datos personales únicamente durante el tiempo necesario para cumplir las finalidades para las cuales fueron recolectados y/o autorizados, o mientras exista una obligación legal, contractual, administrativa o judicial que exija su conservación.
Los periodos de conservación podrán ser informados al titular al momento de la recolección y/o definirse internamente por
C.I. PROCAPS de acuerdo con: (i) la finalidad del tratamiento, (ii) la naturaleza del dato, (iii) el tipo de relación con el titular (laboral, contractual, comercial, societaria, etc.), y (iv) los plazos previstos en normas especiales (laborales, contables, fiscales, tributarias, regulatorias, de seguridad y de gestión de riesgos).
C.I. PROCAPS podrá establecer y mantener tablas, criterios o matrices internas de retención y disposición final de la información. Vencidos los plazos aplicables, y siempre que no exista obligación de conservación,
C.I. PROCAPS procederá a:
a. Eliminar los datos de manera segura, evitando su recuperación; o
b. Anonimizar la información cuando sea posible y procedente; o
c. Restringir/Bloquear el tratamiento, cuando deba conservarse únicamente para fines de archivo, soporte probatorio, atención de reclamaciones, cumplimiento legal o defensa de derechos.
La eliminación o restricción se realizará aplicando medidas técnicas y organizacionales razonables para evitar accesos no autorizados, divulgaciones indebidas o reidentificación, según corresponda.
26. PROCEDIMIENTOS PARA LA ATENCIÓN DE CONSULTAS, RECLAMOS Y PETICIONES.
Los titulares, sus causahabientes, representantes legales o apoderados podrán ejercer sus derechos mediante los canales de atención dispuestos por
C.I. PROCAPS. Antes de atender una solicitud,
C.I. PROCAPS podrá verificar la identidad del solicitante y la calidad en la que actúa, con el fin de evitar accesos o divulgaciones no autorizadas.
Canales de atención:
| Ciudad |
Dirección |
Correo electrónico |
| Barranquilla (Colombia) |
Calle 80 NO. 78 B - 201 |
habeasdata@procaps.com.co |
CONSULTAS. Los titulares o sus causahabientes podrán consultar la información personal del titular que repose en cualquier base de datos de
C.I. PROCAPS. El titular podrá enviar sus preguntas o consultas relacionadas con sus datos personales recolectados y tratados por
C.I. PROCAPS a través de los canales de atención indicados.
C.I. PROCAPS resolverá su inquietud o consulta dentro de los diez (10) días hábiles siguientes a la fecha en que la haya recibido. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado antes del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento del primer plazo.
RECLAMOS. El titular (o sus causahabientes) que considere que la información contenida en alguna base de datos de
C.I. PROCAPS debe ser objeto de corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los deberes legales, podrá presentar reclamo a través de los canales de atención indicados.
El reclamo deberá contener como mínimo: (i) identificación del titular, (ii) descripción de los hechos que dan lugar al reclamo, (iii) dirección y datos de contacto para recibir respuesta, y (iv) los documentos que se quieran hacer valer.
Si el reclamo resulta incompleto,
C.I. PROCAPS requerirá al interesado dentro de los cinco (5) días hábiles siguientes a su recepción para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo.
Una vez recibido el reclamo completo,
C.I. PROCAPS s incluirá en la base de datos una leyenda que diga “RECLAMO EN TRÁMITE” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido.
El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atenderlo dentro de dicho término, se informará al interesado antes del vencimiento del referido plazo los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
REVOCATORIA DE LA AUTORIZACIÓN. El titular podrá solicitar la revocatoria de la autorización otorgada para el tratamiento de sus datos personales cuando ello sea procedente.
C.I. PROCAPS evaluará la solicitud y, en caso de ser viable, cesará el tratamiento para las finalidades afectadas. La revocatoria no tendrá efectos retroactivos sobre tratamientos realizados válidamente con anterioridad y no procederá cuando exista un deber legal o contractual que obligue a conservar o seguir tratando cierta información.
SUPRESIÓN. El derecho de supresión de datos no es absoluto,
C.I. PROCAPS puede negarlo cuando:
a. El titular tenga un deber legal o contractual de permanecer en la base de datos.
b. La eliminación de datos obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, a investigación y persecución de delitos o a la actualización de sanciones administrativas.
c. Los datos sean necesarios para proteger los intereses jurídicamente tutelados del titular; para realizar una acción en función del interés público, o para cumplir con una obligación legalmente adquirida por el titular.
d. En caso de resultar procedente la cancelación de los datos personales,
C.I. PROCAPS debe realizar operativamente la supresión de tal manera que la eliminación no permita la recuperación de la información.
27. ÁREA RESPONSABLE Y ENCARGADA DE LA PROTECCIÓN DE LOS DATOS PERSONALES
C.I. PROCAPS ha designado una persona y/o área responsable de la función de protección de datos personales, encargada de dar trámite a las solicitudes de los titulares para el ejercicio de los derechos previstos en la ley y de coordinar la implementación del programa de protección de datos personales al interior de la organización.
OFICIAL DE PROTECCIÓN DE DATOS PERSONALES
Será la persona y/o dependencia encargada de liderar el programa de protección de datos personales en
C.I. PROCAPS, dar trámite a las solicitudes de los titulares y coordinar la implementación transversal del sistema. En desarrollo de lo anterior, tendrá, entre otras, las siguientes funciones:
a. Recibir, tramitar y atender las solicitudes, peticiones, consultas o reclamos presentados por los titulares, sus causahabientes, representantes o apoderados, incluyendo verificación razonable de identidad y legitimación cuando sea necesario.
b. Administrar y mantener el sistema interno de protección de datos personales en
C.I. PROCAPS y coordinar su implementación con las áreas involucradas.
c. Mantener inventario de bases de datos y coordinar el cumplimiento de obligaciones asociadas al RNBD, incluyendo registros, actualizaciones y reportes periódicos conforme a los requerimientos de la autoridad competente.
d. Coordinar la gestión de transferencias y transmisiones internacionales desde la perspectiva de protección de datos, incluyendo la revisión de salvaguardas contractuales y, cuando corresponda, la gestión de declaratorias de conformidad u otros instrumentos aplicables.
e. Planear y coordinar capacitaciones y estrategias de cultura organizacional en protección de datos personales, con enfoque por perfiles y niveles de acceso.
f. Coordinar auditorías internas o revisiones periódicas para verificar el cumplimiento de la Política y de los procedimientos asociados.
g. Acompañar la atención de visitas, requerimientos, investigaciones y comunicaciones de autoridades competentes en materia de protección de datos personales.
h. Gestionar y dar seguimiento al programa de gestión de riesgos del tratamiento de datos personales, promoviendo controles y mejoras continuas.
i. Coordinar la gestión de incidentes de seguridad que comprometan datos personales y su reporte a la Superintendencia de Industria y Comercio dentro de los términos aplicables, incluido el reporte a través del RNBD cuando corresponda.
j. Presentar informes periódicos a la Alta Dirección sobre el estado del programa, riesgos relevantes, incidentes, auditorías y planes de mejora.
k. Proponer ajustes, actualizaciones o nuevos lineamientos internos en materia de protección de datos personales y someterlos a aprobación cuando corresponda.
El Oficial de Protección de Datos Personales actuará en coordinación con las áreas de Tecnología/Seguridad de la Información, Jurídica/Compliance, Talento Humano y líderes de proceso, para asegurar la implementación efectiva de controles técnicos, administrativos y contractuales, así como la gestión de incidentes, accesos y riesgos asociados al tratamiento.
28. SEGURIDAD DE LA INFORMACIÓN
C.I. PROCAPS implementa y mantiene medidas técnicas, humanas, administrativas, físicas y organizacionales razonables y proporcionales al riesgo, orientadas a proteger los datos personales contra acceso no autorizado, pérdida, uso indebido, alteración, destrucción o divulgación no autorizada. Estas medidas hacen parte del sistema de seguridad de la información de
C.I. PROCAPS y se aplican de manera armónica con la presente Política.
C.I. PROCAPS podrá permitir el acceso a datos personales a terceros que actúen como Encargados del tratamiento (incluyendo proveedores tecnológicos y/o sociedades vinculadas que presten servicios a
C.I. PROCAPS), siempre que existan acuerdos o contratos que impongan obligaciones de confidencialidad, seguridad, uso restringido, gestión de incidentes, subcontratación y demás condiciones exigidas por la normatividad aplicable y por esta Política.
C.I. PROCAPS no garantiza la inexistencia absoluta de incidentes de seguridad; sin embargo, se compromete a mantener controles razonables y proporcionales al riesgo, así como procedimientos de prevención, detección, respuesta y mejora continua.
Parágrafo primero. Ante un incidente de seguridad que pueda comprometer datos personales,
C.I. PROCAPS activará sus protocolos internos de respuesta, incluyendo contención, análisis, remediación, documentación y adopción de medidas correctivas. Cuando corresponda,
C.I. PROCAPS realizará el reporte del incidente ante la Superintendencia de Industria y Comercio en los términos aplicables, incluyendo el reporte mediante el RNBD cuando sea procedente.
Parágrafo segundo. Antes de implementar, adquirir, contratar, licenciar, integrar o utilizar plataformas, aplicaciones, herramientas tecnológicas, servicios en la nube, software, sistemas de analítica avanzada o inteligencia artificial que impliquen tratamiento de datos personales,
C.I. PROCAPS realizará una evaluación previa orientada a verificar riesgos y salvaguardas de privacidad y seguridad.
Dicha evaluación podrá incluir, según el caso: (i) definición del alcance del tratamiento, categorías de datos y finalidades; (ii) identificación de roles (Responsable/Encargado), flujos y transferencias o transmisiones internacionales; (iii) revisión de controles de acceso, cifrado o medidas equivalentes, registros de auditoría, segregación, retención y eliminación; (iv) verificación de subencargados y cadena de suministro tecnológica; (v) análisis de riesgos y medidas de mitigación, incluyendo, cuando sea probable un alto riesgo, la realización de una evaluación de impacto en protección de datos personales; y (vi) revisión de cláusulas contractuales de confidencialidad, seguridad, incidentes, cooperación y uso restringido.
C.I. PROCAPS documentará las conclusiones de esta evaluación y adoptará medidas correctivas o preventivas antes de poner en operación la tecnología, especialmente cuando se trate de herramientas basadas en inteligencia artificial o tratamientos que involucren datos sensibles, biométricos o decisiones automatizadas.
29. ATENCIÓN DE REQUERIMIENTOS DE ENTIDADES ADMINISTRATIVAS Y JUDICIALES
El Oficial de Protección de Datos Personales, junto con el representante legal y/o las áreas responsables que se determinen internamente, atenderá visitas, requerimientos de información o solicitudes relacionadas con datos personales formuladas por autoridades judiciales o administrativas competentes.
C.I. PROCAPS podrá revelar datos personales cuando exista requerimiento u orden válida emitida por autoridad competente, de conformidad con la normatividad aplicable. En estos casos,
C.I. PROCAPS verificará el alcance del requerimiento y suministrará únicamente la información estrictamente necesaria, dejando trazabilidad interna de la solicitud y de la respuesta entregada.
30. VIGENCIA Y MODIFICACIONES
Esta Política fue aprobada mediante la Alta Dirección de
C.I. PROCAPS y modifica todas las disposiciones que se hubieren expedido con antelación en la organización.
Las bases de datos en las que se registrarán los datos personales tendrán una vigencia igual al tiempo en que se mantenga y utilice la información para las finalidades descritas en esta Política. Una vez se cumplan esas finalidades y siempre que no exista un deber legal o contractual de conservar su información, sus datos serán eliminados de nuestras bases de datos.
31. APROBACIÓN Y DIVULGACIÓN
El presente documento fue revisado, analizado y aprobado para su implementación por la Junta Directiva de
C.I. PROCAPS.
C.I. PROCAPS realizará la correspondiente divulgación con los grupos de interés y se dejará constancia de ello.